[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR2] wml://security/2017/dsa-379{6,7,8,9}.wml

Bonjour,
Le 02/03/2017 à 16:00, JP Guillonneau a écrit :
> Bonjour,
> suggestions.
> (non + trait d’union → https://fr.wikipedia.org/wiki/Trait_d%27union)
> Amicalement.
> --
> Jean-Paul
Corrections appliquées, merci Jean-Paul.
Merci d'avance pour vos nouvelles relectures.
Amicalement,
jipege


#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le serveur HTTP
Apache2.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0736";>CVE-2016-0736</a>

<p>RedTeam Pentesting GmbH a découvert que mod_session_crypto était
vulnérable à des attaques d'oracle par remplissage qui pourraient permettre
à un attaquant de deviner le cookie de session.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2161";>CVE-2016-2161</a>

<p>Maksim Malyutin a découvert que des entrées malveillantes pour
mod_auth_digest pourraient faire planter le serveur, provoquant un déni de
service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8743";>CVE-2016-8743</a>

<p>David Dennerline, des X-Force Researchers de sécurité d'IBM, et Régis
Leroy ont découvert des problèmes dans la manière dont Apache gérait un
motif large de motifs d'espace inhabituels dans des requêtes HTTP. Dans
certaines configurations, cela pourrait conduire à des vulnérabilités de
découpage de réponse ou de pollution de cache. Pour corriger ces problèmes,
cette mise à jour rend Apache httpd plus strict dans le choix des requêtes
HTTP qu'il accepte.</p>

<p>Si cela provoque des problèmes avec des clients non conformes, certaines
vérifications peuvent être assouplies en ajoutant la nouvelle directive
<q>HttpProtocolOptions unsafe</q> à la configuration.</p></li>

</ul>

<p>Cette mise à jour corrige aussi le problème de la non-activation par
défaut de mod_reqtimeout dans les nouvelles installations.</p>


<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.4.10-10+deb8u8.</p>

<p>Pour la distribution testing (Stretch) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.4.25-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3796.data"
# $Id: dsa-3796.wml,v 1.3 2017/03/02 20:43:27 jipege1-guest Exp $
Reply to: